ظهرت برمجية MODBEACON كتهديد سيبراني جديد يعتمد على gRPC لبناء قناة تحكم مشفرة، مع استهداف قطاعات التقنية والتعليم والشركات الحكومية.
ما هي برمجية MODBEACON ولماذا تثير القلق؟
تكشف الحملة الجديدة عن حصان طروادة للوصول عن بُعد مبني بلغة Rust، ويعمل من الذاكرة لتقليل فرص اكتشافه على الأجهزة المصابة. هذا الأسلوب يمنح المهاجمين قدرة أعلى على البقاء داخل النظام لفترة طويلة دون إثارة انتباه فرق الحماية.
وبحسب المعطيات التي تابعها تيكبامين، فإن التهديد لا يبدو مجرد حملة عشوائية، بل جزء من بنية تشغيل أكثر تنظيماً تعتمد على موزعين ينشرون البرمجيات الخبيثة عبر مواقع مزيفة ونتائج بحث ملوثة.
- نوع التهديد: حصان طروادة للوصول عن بُعد
- لغة التطوير: Rust
- آلية العمل: تشغيل من الذاكرة دون تثبيت تقليدي واضح
- الهدف: الحفاظ على وصول طويل الأمد إلى الأجهزة
كيف تنتشر برمجية MODBEACON عبر نتائج البحث؟
تعتمد الحملة على أسلوب SEO Poisoning، أي التلاعب بنتائج البحث لرفع مواقع مزيفة تعرض برامج شهيرة على أنها أدوات شرعية قابلة للتحميل. وعندما ينقر المستخدم على الرابط، يحصل غالباً على ملف ZIP خبيث بدلاً من المُثبت الحقيقي.
سلسلة العدوى باختصار
- إنشاء نطاقات مزيفة تشبه مواقع البرامج المعروفة
- ترويج هذه الصفحات في نتائج البحث
- خداع الضحية بتحميل مُثبتات وهمية
- إسقاط اللودر ثم تشغيل MODBEACON داخل الذاكرة
اللافت أن هذا النموذج لا يستهدف الأفراد فقط، بل يركز أيضاً على المؤسسات ذات القيمة العالية، خصوصاً في قطاعات التكنولوجيا والتعليم والجهات المملوكة للدولة.
ما الذي يميز برمجية MODBEACON تقنياً؟
الجانب الأخطر في MODBEACON هو جودة هندستها البرمجية. فالبرمجية تفصل بين اللودر والمكوّن الرئيسي، وتستخدم هيكلية إضافات مرنة تسمح بتوسيع الوظائف لاحقاً وفق أوامر المشغل.
كما تعتمد على gRPC Streaming لإنشاء اتصالات تحكم وسيطرة مشفرة، مع الاستفادة من طبقة نقل مستوحاة من أطر مفتوحة المصدر معروفة في تجاوز الرقابة الشبكية. هذا الدمج يجعل الحركة الشبكية أقل لفتاً للانتباه مقارنة ببعض عائلات البرمجيات الخبيثة التقليدية.
- قناة C2 مشفرة عبر gRPC
- بنية إضافات قابلة للتوسعة
- إمكانية تنزيل وحدات جديدة بعد الاختراق
- تشغيل أوامر عن بُعد بصلاحيات المهاجم
- استضافة البنية التحتية عبر أمازون وكلاودفلير
من يقف وراء الهجمات وما طبيعة الأهداف؟
ترتبط الحملة بمجموعة إجرامية ناطقة بالصينية تُعرف باسم Silver Fox، وهي معروفة بتشغيل بنية توزيع واسعة تعتمد على مُثبتات مزورة وتروج لعائلات متعددة من أحصنة طروادة. بعض المؤشرات تشير إلى نموذج هجين يجمع بين بيع الوصول غير المشروع وتوسيع البصمة العدائية عبر آسيا.
أبرز القطاعات المستهدفة
- شركات التقنية
- المؤسسات التعليمية
- الشركات الحكومية
- بيئات أعمال عالية القيمة
كيف تحمي نفسك من برمجية MODBEACON؟
الخطوة الأهم هي تجنب تحميل البرامج من نتائج بحث غير موثوقة أو مواقع غير رسمية، حتى لو بدت مقنعة بصرياً. كذلك يجب فحص الملفات المضغوطة قبل تشغيلها، وتقييد صلاحيات المستخدمين، ومراقبة الاتصالات المشفرة غير المعتادة داخل الشبكة.
ويرى تيكبامين أن صعود MODBEACON يؤكد أن الهجمات الحديثة باتت تجمع بين الهندسة الاجتماعية والتقنيات الشبكية المتقدمة، ما يفرض على المؤسسات تحديث أساليب الرصد والاستجابة بدلاً من الاكتفاء بحلول الحماية التقليدية.